Brutus 이번 랩은 리눅스 로그 분석, DFIR에 대해 다뤄볼 예정이고 블루팀 트랙의 첫 번째 머신이다 Intro to Blue Team 트랙은 Defensive 해커들에게 특화된 머신들을 모아놓은 로드맵임워게임이나 챌린지 대부분이 offensive여서 블루팀인 나에겐 너무 소중하다..  auth.log 로그파일 필드 날짜, 시간HostnameServicePIDUserAuthentication StatusIP 주소, 호스트네임1. Analyze the auth.log. What is the IP address used by the attacker to carry out a brute force attack? 공격자가 브루트 포스 공격에 사용한 Ip 주소를 찾는데 'Failed password'가 연속..

일단 문제 파일을 다운로드받고 실행해보니 패스워드 값에 따라 플래그 출력 여부가 나뉜다파일 종류를 보니까 ELF 형식의 파일이다strings [file] 실행파일의 문자열을 출력해보니 누가봐도 패스워드처럼 보이는 문자열이 있다  입력하니 성공적으로 플래그를 찾음 근데 문제를 풀 수 있는 방법이 하나 더 있다바로 ltrace 명령어 사용하기!  ltrace로 패스워드 test를 입력했을때 어떤 과정을 거치는지를 볼 수 있다strcmp 비교하는 함수가 등장하고, test 단어와 s3cr3t ~ 문자열을 비교하므로 이게 패스워드임을 알 수 있다 생각보다 너무 간단하게 풀어서 머쓱하다..

이번 juicy details 룸은 공격이 발생한 네트워크 로그 파일을 분석해서공격자가 사용한 기술과 툴, 취약한 엔드포인트, 액세스 된/탈취된 중요 데이터를 파악하면 된다첨부된 로그 파일을 분석해서 알아보자Reconnaissance1. What tools did the attacker use? (Order by the occurrence in the log)  공격자가 사용한 툴을 찾는 문제다. 로그 목록이 엄청 길긴 하지만 Nmap, Hydra, sqlmap 등 툴 이름을 찾을 수 있었다: nmap, hydra, sqlmap, curl, feroxbuster 2. What endpoint was vulnerable to a brute-force attack? brute force 공격에 취약한 엔드포..

최근 며칠 동안 계속 웹해킹 랩만 풀었더니 리버싱이 약간 그리워져서tryhackme의 리버싱 랩을 하나 풀어봤다 근데 문제가 8개여서 시간은 꽤 소요되었음 8개의 crackme1~crackme8 파일에서 각각 플래그를 찾아내면 된다!  Crackme 1일단 파워쉘에서 strings을 출력했지만 힌트라고 할만한 정보는 찾지 못했다나중에 안건데 ELF 파일이어서 그런지 파워쉘에서는 분석이 제대로 안되는 것 같다   별 수확이 없어서 칼리리눅스에서 시도해봤음chmod +x [file] 파일 실행권한을 추가하고 바로 ./crackme1 이렇게 실행하니까 바로 플래그를 찾았다  Crackme 2 1번 문제와 마찬가지로 실행 권한을 추가하고 실행했는데 이번엔 패스워드가 필요하다strings 명령어로 플래그 획득 성..

이전 포스팅에서 LLM 취약점과 공격 예시 이론을 다루었다오늘은 LLM API의 취약점을 공격해서 carlos 계정을 삭제하는 실습을 해보겠음  상품 판매하는 쇼핑 웹사이트인데 오른쪽 상단에 있는 Live Chat을 들어간다 챗봇이나 심심이처럼 정해진 답을 하는게 아닌, 실제 AI와 유사하게 답변을 해준다사용자와 인터렉티브한 소통이 가능하니 프롬프트로 공격하면 되겠다 이 랩의 이름에서 LLM API라고 알려주니까 API정보를 먼저 얻어야겠다어떤 API에 액세스가 되어있는지 물어보니까 password_reset, debug_sql, product_info 이렇게 3개의 API를 알려줌  비밀번호 초기화가 아니라 carlos 계정 자체를 삭제해야 하니까 첫 번째 api는 아니고,debug_sql을 더 살펴봐..

JWT는 헤더, 페이로드, 시그니처 이렇게 3가지로 이루어져 있다.이번 랩은 세션을  JWT 기반으로 관리하고, JWT의 시그니처를 검증하지 않는 취약한 서버다세션 토큰을 수정해서 admin 패널을 탈취한 후 carlos 계정을 삭제하는 시나리오다  랩 설명에서 주어진 계정정보 wiener:peter로 로그인을 한다어드민이 아니라 일반 유저 권한이기 때문에 Burpsuite에 들어가서 로그인 파켓을 찾아보자repeater에서 변조하면 될 듯 시작하기 전에 JWT 토큰을 변경하기 위해서는 burpsuite의 확장자인 JWT Editor을 설치하자Extensions 탭에 들어가서 BAPP Store에서 찾을 수 있음  로그인에 해당하는 GET 메서드, /my-account?id=wiener 파켓을 살펴보면쿠..